El bloqueo por huella dactilar (Touch ID para los usuarios de iPhone) prometía ser nuestra salvación. Es fácil de usar y depende de características exclusivas de cada individuo. Además, nuestros dedos siempre están unidos a nosotros, así que no nos los pueden robar ni los podemos olvidar, y la complejidad de los dactilogramas hace que, supuestamente, las huellas sean prácticamente imposibles de rastrear.
Sin embargo, esto dista bastante de la realidad. De las diversas razones que existen para no usar el bloqueo por huella dactilar, para mí destacan tres:
1. La gente puede piratear tus huellas dactilares (y los lectores)
Dejamos huellas dactilares por todas partes: en picaportes, barandillas, tazas, vasos, teclados, pantallas, fotos... todo lo que se te ocurra. Esto quiere decir que los hackers disponen de muchos lugares para piratear esta contraseña supuestamente indescifrable.
El Chaos Computer Club lo demostró en 2008. Para protestar contra la propuesta de un político alemán de implantar la biometría, el club utilizó una fotografía a fin de recrear su huella dactilar. En 2013, empleó látex para crear un dedo falso con el que desbloquear un dispositivo. Hace poco, la artimaña se ha repetido con Play-Doh y el pegamento Elmer’s, lo que ha dejado patente que cada vez es más fácil recrear huellas físicas.
Y, peor aún, las huellas dactilares también se pueden piratear virtualmente. En el congreso Black Hat celebrado en 2015 en Las Vegas, dos expertos de seguridad hicieron una demostración de varias formas de piratear el bloqueo por huella dactilar. Crearon una aplicación que imitaba la pantalla de desbloqueo de un teléfono; cuando la víctima la usaba, era capaz de autorizar una transacción financiera. Previamente habían cargado las huellas dactilares en el teléfono para poder acceder. Mostraron que era relativamente sencillo reconstruir una huella dactilar a partir del archivo usado para guardarla y piratearon el propio lector, lo que les permitió capturar imágenes de las huellas dactilares cuando se usaban.
2. La contraseña la puedes cambiar, pero tus huellas dactilares no
Esto es tan básico que, a menudo, se pasa por alto. Cuando, hace varios años, me piratearon la cuenta de correo electrónico, cambié la contraseña y el problema quedó resuelto, pero, si alguien llegara a piratear mi huella dactilar, el hacker siempre la tendría.
Piensa en las implicaciones que esto tiene. Las huellas dactilares son para siempre. Una vez que los maleantes las consiguen, las pueden usar o vender indefinidamente a otros hackers. Esto es especialmente alarmante si pensamos en la cantidad de organismos oficiales que recopilan huellas dactilares y en el aumento de empresas privadas que las usan para la autenticación.
Las huellas dactilares son para siempre. Una vez que los maleantes las consiguen, las pueden usar indefinidamente o vender a otros hackers.
3. La policía no necesita tu permiso para desbloquear un teléfono con biométrica
También es importante recordar que no siempre tenemos el control de nuestras propias manos. Si una persona quiere conseguir que desbloquees el teléfono, solo tiene que poner tus dedos sobre la pantalla.
Esto se permite en Estados Unidos, donde un juez concedió una orden de registro a unos agentes de policía en Glendale, California. El argumento es que una huella dactilar es una «prueba física», semejante a una llave física, que se puede recabar como prueba o exigir por orden judicial. Además, las huellas dactilares se pueden obtener fácilmente porque se recogen de manera sistemática en el marco de procedimientos policiales y judiciales fundamentales. Y, dado que las huellas dactilares son físicas y no «testimonios», no están amparadas por la disposición sobre autoinculpación de la Quinta Enmienda.
No ocurre lo mismo con las contraseñas y los códigos PIN. Obligar a una persona a exponer algo que está «en su cabeza» tiene carácter testimonial y, por ello, la coerción está prohibida. Grandes empresas tecnológicas (AVG incluida) presentan un alegato parecido acerca de la información corporativa. En un enfrentamiento contra el FBI que ha alcanzado un punto muerto en gran medida sin resolver en relación con el acceso al teléfono empleado por el terrorista de San Bernardino, Apple adujo el argumento jurídico de que el FBI estaba intentando obligar a Apple a hablar y a hacerlo, además, en contra de sus propios intereses, algo que no se debería permitir. El FBI archivó el caso después de contratar a alguien para que pirateara el teléfono. Aunque esta estrategia fue eficaz, también resultó bastante cara; y, de momento, es poco probable que la mayoría de los casos justifiquen una inversión de este tipo.
Aun así, entra dentro de las posibilidades que las fuerzas del orden puedan obligar o forzar a los fabricantes a incluir puertas traseras a los dispositivos para recopilar huellas mediante el bloqueo por huella dactilar.
Conclusión sobre las huellas dactilares y la seguridad
Desde luego que no espero que la gente deje de usar el bloqueo por huella dactilar. Es comodísimo. No obstante, esté bien o mal, la capacidad del gobierno de recopilar y guardar información sobre nuestras identidades digitales es inmensa. El sistema de identificación de huellas dactilares integrado y automatizado del FBI alberga decenas de millones de huellas no relacionadas con actividades delictivas pertenecientes a personal militar, funcionarios públicos y otros inocentes. Y, por lo general, los archivos del gobierno no siempre son seguros. La filtración de información de 2015 ocurrida en la Oficina de Administración de Personal de EE. UU. afectó a 5,6 millones de huellas dactilares, lo que sugiere que se han convertido en un producto más que se puede piratear y usar para infringir nuestra privacidad, en este caso, durante mucho tiempo.